2007年5月25日星期五

制服顽固病毒 就用这一招


最近在论坛上不断看到有网友求助 磁盘分区不能双击打开;插入U盘导致感染病毒;中了病毒明明完全重装了系统(指格式化系统盘后重装 或者是ghost恢复 下同),但是病毒依然横行。本文将教你导致这些现象的原因,对应的防守策略及解决方法。


首先说说磁盘双击不能打开的原理吧


我们来做个实验。将一个可执行文件放在某个分区的根部录下。例子中是打字练习这个软件。然后我们打开记事本 然后输入


[autorun]


OPEN=打字软件.exe open=输入你的可执行文件的文件名


然后把它保存为名为Autorun.inf文件 也放在该分区的根目录下 如图1



图1(点击看大图)

接下来重启电脑,然后双击该分区,原本是要进入该分区的,但是却执行了你的可执行文件。在盘符上单击右键可以看到多了一个自动播放


如果该可执行文件是个病毒的话,那后果就是。。。


这就是磁盘分区不能双击打开;插入U盘导致感染病毒的原理。


可以看出Autorun.inf文件就是这类病毒的加载途径


有些网友会问 "我看不到有这个病毒呀" 那是因为病毒作者给该文件赋了隐藏属性。


接着网友又会问 "我也选择了显示所有文件呀" 病毒作者为了达到隐藏的目的,修改了注册表中显示隐藏文件的相关选项,使得你即使选择了显示所有文件,也无法达到显示隐藏文件的目的。这里作者提供了相关的修复显示隐藏文件的注册表修复文件供大家下载,点击下载


,你下载并运行了该文件后就可以看到被隐藏的Autorun.inf文件了。


知道了原理,我们来防范此类病毒。


首选方法:组策略法 (该方法适用于xp专业版用户,xp家庭版用户跳过)


具体操作方法 开始-运行-输入gpedit.msc-确定-计算机机配置-管理模板-系统关闭自动播放-已启用-所有驱动器-确定 如图2



图2 关闭自动播放的步骤(点击看大图)

这样做以后就不怕病毒通过Autorun.inf 自动播放这个功能来加载了。


第二种方法


在每个分区(U盘)的根目录下建立一个名为Autorun.inf的文件夹 是文件夹而不是文件哦


这样做有个缺点 就是容易被病毒删除。于是我们可以利用文件名特性来在Autorun.inf的文件夹再建立建立一个不易删除的文件夹


开始-程序-附件-命令提示符 输入 双引号里边的"md x:\autorun.inf\正常的免疫文件..\" 在实际中需把x替换成对应分区的盘符


这里笔者已经做好了个批处理文件,点击下载


,你只需要解压后运行就可以直接完成以上步骤了


中了病毒明明完全重装了系统,但是病毒依然横行。那又是什么原因呢?


原因可能有


第一种情况


就是以上说的,虽然你完全重装了系统,但是其它分区的根目录下的Autorun.inf类病毒还没清除,所以你一双击进入其它分区,即导致重新感染病毒


解决方法:完全重装系统后先不要进入其它分区,右键单击我的电脑,选搜索,选择所有文件和文件夹,再选择更多高级选项,勾选搜索隐藏文件和文件夹,文件名里填入Autorun.inf,然后按搜索,然后打开任意位于分区根目录下的Autorun.inf 并记录OPEN=xxx.exe 这个文件名 接下来回到搜索窗口 删除所有任意位于分区根目录下的Autorun.inf文件


笔者也做了个批量删除Autorun.inf的批处理,解压后运行就可以批量删除Autorun.inf文件了。 点击下载


接着搜索刚刚记录的xxx.exe(文件名根据实际情况不同)的文件,删除所有任意位于分区根目录下的这些文件


接着用上边所说的免疫方法为自己的系统做个防范吧


第二种情况


就是你所中的病毒会感染可执行文件和网页文件。有许多网友喜欢把常用软件的安装程序放在硬盘里,以方便重装系统后或者需要时能即时安装使用。


完全重装系统后第一时间就是安装或直接使用那些常用软件(比如杀毒软件,比如QQ),由于安装程序(可执行程序)已被感染,所以造成病毒重新被激活。


防范方法:为防止安装程序受到病毒感染,可以用压缩文件进行压缩打包,这样做既避免了这些程序感染病毒,又节约了磁盘空间


解决方法:完全重装系统后,先不要安装或运行原硬盘里的任何程序,可以用光盘或U盘从别人的电脑里拷贝杀毒软件的安装程序过来,安装杀毒软件并升级到最新病毒库,然后用杀毒软件全盘查杀病毒。记住清除病毒过程中需要选择的是清除病毒,而不是删除病毒。清除病毒是指把病毒从正常程序里清除出去,而删除会直接把你的程序也一并删除了。


第三种情况


完全重装系统后由于你的系统没有打上安全补丁,一联网便遭到蠕虫类病毒的自动感染


防范方法:1.安装并升级杀毒软件并它的开启实时监控后再联网(升级杀毒软件用离线升级包)2.使用超级兔子升级天使为你的系统离线打上补丁后再联网


作者:不详 来源:PConline


Related Posts:

  • 攻防兼备 让你的QQ密码不被盗走一、别让QQ大盗进门   在前面的文章中,可以看到黑客是利用"呼噜QQ大盗综合版"类似的木马来盗Q的,因此要让自己不受攻击保证QQ的安全,首先要阻止QQ大盗进入我们的电脑。一般黑客是通过QQ文件传输、Email或网站挂马几种方式传播QQ大盗木马的,因此防范QQ被盗,首先可从这几方面入手。1.QQ文件传输要安全腾讯QQ早就为防止黑客通过QQ传播木马设置了一系列的防护功能,只是许多用户没有用好它而已。点击QQ面板上的"菜单"→"设置"→"安全设置"命… Read More
  • 神秘"五角星"入驻电脑 你怎么办?有网友反映,其装有Windows XP系统的电脑在开机的时突然弹出一个窗口,在电脑右下角处,窗口上显示:"无法完成正版Windows验证.单击此处获得关于此问题的帮助"(如图).相信您和您的朋友一定遇到这种问题了(用我们的话说叫中招了),遇上这种问题,您如何解决呢(图一)10秒后关闭,在电脑的右下角驻留一个蓝色的五角星(如图二)(图二)鼠标左键指向的五角星图标鼠标右键指向的五角星图标这让使用盗版Windows操作系统的网友多少有些无奈,"毕竟俺是… Read More
  • ADSL 错误代码表Error 602 The port is already open问题:拨号网络网络由于设备安装错误或正在使用,不能进行连接原因:RasPPPoE没有完全和正确的安装解决:卸载干净任何PPPoE软件,重新安装Error 605 Cannot set port information问题:拨号网络网络由于设备安装错误不能设定使用端口原因:RasPPPoE没有完全和正确的安装解决:卸载干净任何PPPoE软件,重新安装Error 606 The po… Read More
  • 硬盘故障提示信息的含义和硬盘故障的代码一 硬盘故障提示信息的含义(1)Date error(数据错误)从软盘或硬盘上读取的数据存在不可修复错误,磁盘上有坏扇区和坏的文件分配表。(2)Hard disk configuration error(硬盘配置错误)硬盘配置不正确,跳线不对,硬盘参数设置不正确等。(3)Hard disk controller failure(硬盘控制器失效)控制器卡(多功能卡)松动,连线不对,硬盘参数设置不正确等。(4)Hard disk failure(硬盘… Read More
  • 怎么做GHOST系统(简单易学)原作者:江南才子一、准备工作:1、事先准备好以下软件(1)S&R&SV9.6.0819(2)DllcacheManager(3)EasyBoot5.09破解版(4)UltraISO8.0绿色版(5)VPC2004Lite(6)系统优化DIY_Y1.6(7)瑞星卡卡助手最新版本(网上下载)(8)全自动垃圾文件整理(9)下载好最新补丁(网上下载)2、事先做好以下图片(1)系统安装时的画面(文件名setup)(规格1024×768 bm… Read More

0 评论: